@RequiresPermissions 控制权限的异常处理以及Ajax方式请求时返回json

最新推荐文章于 2024-09-20 02:21:29 发布
最新推荐文章于 2024-09-20 02:21:29 发布
阅读量7.1k 收藏 5
点赞数 3
分类专栏: java web 文章标签: spring mvc
本文介绍如何使用Shiro框架进行权限控制,并针对Ajax请求实现未登录或无权限时的JSON反馈。通过自定义BaseController类,实现了统一的异常处理机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考http://www.mamicode.com/info-detail-1746942.html

例如使用到注解: 
@RequiresPermissions 来控制是否有对应权限才可以访问 
@RequiresUser 来控制是否存在用户登录状态才可以访问

想了解Shiro是如何通过注解来控制权限的,可以查看源码 AopAllianceAnnotationsAuthorizingMethodInterceptor,其构造方法中添加了几个对应的权限注解方法拦截器(这里不做详细阐述)。

用户在请求使用这些注解方式控制的方法时,如果没有通过权限校验。Shiro 会抛出如下两组类型的异常。

登录认证类异常 UnauthenticatedException.class, AuthenticationException.class 
权限认证类异常 UnauthorizedException.class, AuthorizationException.class 
(每个具体的异常对应哪个注解,大家查看源码了解一下)

言归正传,直接上代码,通过代码来说明本文目的 “做Ajax请求的时候,如果请求的URL是被注解权限控制的,在没有权限或者登陆失效的情况下,如果获得JSON方式的返回结果(如果用户没有登录,大多数都是直接跳转到登录页面了)”。

通过一个 BaseController 来统一处理,然后被其他 Controller 继承即可,对于JSON和页面跳转,我们只需要做一个Ajax判断处理即可。

代码如下:

/**
 * BaseController
 *
 * @author 单红宇(365384722)
 * @myblog http://blog.youkuaiyun.com/catoop/
 * @create 2017年4月4日
 */
public abstract class BaseController {

    /**
     * 登录认证异常
     */
    @ExceptionHandler({ UnauthenticatedException.class, AuthenticationException.class })
    public String authenticationException(HttpServletRequest request, HttpServletResponse response) {
        if (WebUtilsPro.isAjaxRequest(request)) {
            // 输出JSON
            Map<String,Object> map = new HashMap<>();
            map.put("code", "-999");
            map.put("message", "未登录");
            writeJson(map, response);
            return null;
        } else {
            return "redirect:/system/login";
        }
    }

    /**
     * 权限异常
     */
    @ExceptionHandler({ UnauthorizedException.class, AuthorizationException.class })
    public String authorizationException(HttpServletRequest request, HttpServletResponse response) {
        if (WebUtilsPro.isAjaxRequest(request)) {
            // 输出JSON
            Map<String,Object> map = new HashMap<>();
            map.put("code", "-998");
            map.put("message", "无权限");
            writeJson(map, response);
            return null;
        } else {
            return "redirect:/system/403";
        }
    }

    /**
     * 输出JSON
     *
     * @param response
     * @author SHANHY
     * @create 2017年4月4日
     */
    private void writeJson(Map<String,Object> map, HttpServletResponse response) {
        PrintWriter out = null;
        try {
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json; charset=utf-8");
            out = response.getWriter();
            out.write(JsonUtil.mapToJson(map));
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (out != null) {
                out.close();
            }
        }
    }
}
public class WebUtilsPro {

    /**
     * 是否是Ajax请求
     *
     * @param request
     * @return
     * @author SHANHY
     * @create 2017年4月4日
     */
    public static boolean isAjaxRequest(HttpServletRequest request) {
        String requestedWith = request.getHeader("x-requested-with");
        if (requestedWith != null && requestedWith.equalsIgnoreCase("XMLHttpRequest")) {
            return true;
        } else {
            return false;
        }
    }
}

下面是一个普通的 Controller

@Controller
@RequestMapping
public class PageController extends BaseController{

    @RequiresUser
    @RequestMapping(value="/main", method=RequestMethod.GET)
    public String main(Model model){
        return "main";
    }

    @RequiresUser
    @RequestMapping(value="/getData", method=RequestMethod.POST)
    @ResponseBody
    public List<String> getData(Model model){
        List<String> list = new ArrayList<>();
        list.add("data1");
        list.add("data2");
        return list;
    }

}

当我们使用 ajax 方式去请求 /getData 时,如果用户没有登录。则会返回对应没有登录的JSON结果。 
页面在做ajax请求时候,发现用户没有登录,可能需要根据响应结果做对用的页面交互处理,而不是暴力的直接重定向到登录页面了。


ruoyi后台管理系统分析(三)---admin包
bangche3676的博客
11-21 3018
三、admin包 --web包 -----controller包 -----------common包 CommonController.java------通用请求处理 package com.ruoyi.web.controller.common; import java.io.UnsupportedEncodingException; import jav...
ajax前端业务实现发送和多项选择
weixin_49143405的博客
03-22 1488
目录 一,实现发送 1,前端html写法: 2,js的写法 3,新增 4,修改 二,后端写法 1,MedicineInformationController写法 2,IMedicineInformationService写法 3,消息群发Service业务层处理(MedicineInformationServiceImpl) 4,消息群发Mapper接口(MedicineInformationMapper) 5,MedicineInformationMapper.xml 一,
shiro注解@RequiresPermissions失效问题
业精于勤,荒于嬉;行成于思,毁于随
01-24 1274
使用RequiresPermissions注解进行权限拦截项目规定根据功能多级编码 例:A菜单下的B管理功能中的C按钮权限编码为A:B:C 使用后发现只要拥有B管理功能的权限下面的按钮权限都可以使用B管理功能的权限编码为A:B Debug查看源码发现Shrio中的鉴权会根据(: ,)切割,切割顺序为先使用(:)切割后得到一个list 遍历list根据(,)切割。对比权限根据切割后的list进行集合包含的判断,包含了就返回true。 着重标明一下权限编码中不能有(*)又星号直接错误。 这里发现这
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面
04-25
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2406657
@RequiresPermissions 解释
热门推荐
ATwill的专栏
12-01 8万+
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered(
关于User的一些注解
weixin_30530939的博客
03-12 972
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated()结果为true。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated()结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
@RequiresPermissions要求用户拥有某(些)权限
圆圆学习笔记的博客
02-21 3068
如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关) RequiresRoles、RequiresPermissions、RequiresAuthentication、RequiresUser、RequiresGuest。注解用于配置接口要求用户拥有某(些)权限才可访问,它拥有两个参数。Shiro的认证注解处理是有内定的处理顺序的,,那就要求拥有此角色的同还得拥有相应的权限。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。
@RequiresPermissions 注解说明
愿我如星君如月 ... 夜夜流光相皎洁 ...
04-03 4万+
见:https://blog.youkuaiyun.com/kang649882/article/details/50128235@RequiresAuthentication验证用户是否登录,等同于方法subject.isAuthenticated()结果为true。@RequiresUser验证用户是否被记忆,user有两种含义:一种是成功登录的(subject.isAuthenticated()结...
SpringBoot教程(三十) | SpringBoot集成Shiro权限框架
qq_20236937的博客
09-20 1053
SpringBoot集成Shiro(权限框架)
ruoyi框架角色配置按钮权限
02-17
为了确保只有拥有相应权限的用户才能看到并点击某些按钮,可以在页面加载请求服务器获取当前用户的权限列表,并据此渲染视图。通常情况下会把所有的可选权限项预先定义好存放在数据库里,当用户登录成功之后再把...
在泛微OA中,我想通过ecode平台实现在流程中新增一个按钮,代码如下,为什么没有效果:const { WeaTools, WeaSlideModal } = ecCom; class testComponent extends React.Component { constructor(props) { super(props); this.state = { info: { name: '' }, jsonData: {}, currentObj: {} }; } componentDidMount() { window.WfCustomInfoRef = this; this.getData(); } getData() { const data = { name: "John1", age: 25 }; fetch('/api/workflow/test/getInfo2', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify(data) }) .then(response => response.json()) .then(data => { this.setState({ jsonData: data }, () => { console.log(this.state.jsonData); }); }) .catch(error => { console.error('请求出错:', error); }); } render() { const { info, jsonData, currentObj } = this.state; return ( <div> 添加的自定义内容2{jsonData.username} <button type= "primary" onClick={()=>{ var requestId = WfForm.getBaseInfo().requestid; jQuery.ajax({ type: "POST", url: "http://192.168.10.129:8089/workflow/request/GetSAPDataAjax.jsp", data: {'requestid':requestId, 'method':"QZgd"}, //dataType: 'json', success:function(data){ console.log(data) // alert(data) }, error:function(data){ alert("系统出现问题,请联系管理员!"); } }) }}>按钮</button> {jsonData.test} </div> ); } } ecodeSDK.setCom('${appId}', 'testComponent', testComponent);在对应的节点通过单元格id控制按钮显示位置: var params = { domId:'btnUpdate',//渲染位置的fieldId id:'eaf7e8a2fe824894a6f81e7d112530c1',//appid name:'testComponent',//调用的组件名称,在setCom中定义的 cb:function(){ //渲染完成后的回调 }, noCss:true, props:{} }
最新发布
03-08
我需要从几个方面入手:前端代码是否正确、事件绑定是否成功、后端接口是否正常、权限设置是否恰当,以及是否有调试和缓存问题。 第一步,检查按钮的HTML结构。用户可能没有正确设置按钮的ID或类名,或者按钮的位置...
自定义过滤器配置 Shiro 认证失败返回 json 数据
Reische的博客
12-31 1297
Shiro权限框架认证失败默认是重定向页面的,这对于前后端分离的项目及其不友好,可能会造成请求404的问题。现在我们自定义过滤器实现认证失败返回json数据。拦截器就是一道道的关卡,每一道关卡都有各自的职责。
注解@RequiresPermissions()
weixin_42819047的博客
07-23 301
这个注解是基于shiro 权限判断。@ResuiresPermissions() 当前Subject 需要拥有某些特定的权限,才能执行被该注解标注的方法。如果不是当Subject不具备这样的权限,则该方法不会执行。在项目中第一次看到这个注解,因为之前没有看到过,所以记录一下。
@RequiresPermissions注解
Cheung's house
11-14 3634
@RequiresPermissions注解:   例如:    @RequiresPermissions({"file:read", "write:aFile.txt"}) public void someMethod() { System.out.println("Hello world"); } 要求subject中必须同含有file:read和write:aFile...
shiro @RequiresPermissions 权限控制问题排查
Mccsosix的博客
08-01 2007
最近在使用权限控制遇到了一些坑,分享一下我的排查思路大致问题普遍如下:前端请求接口,页面显示并无权限部分接口可以访问,少部分接口无权限
@RequiresPermissions注解的使用
qq_35227352的博客
03-12 1万+
@RequiresPermissions是shiro的常用注解,用于获取权限 实例:@RequiresPermissions{“xxx1:xxx2:xxx3”} 执行这个方法会判断用户有没有相应的权限 会在某个地方进行配置,比如controller层其xxx1/xxx2/xxx3的url路径访问相应资源就可以正常访问。 ...
shiro几种注解说明
皮蛋瘦肉的博客
04-16 2264
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true...
shrio中@RequiresPermissions 解释
QieXingQieMingJi的博客
09-26 1186
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
使用RequiresPermissions介绍、使用场景和示例代码
a_beiyo的博客
08-02 3137
注解允许开发者在方法或类级别上定义需要的权限,以确保只有具备相应权限的用户才能执行相应操作。在安全敏感的应用程序中,这种精确的权限控制非常重要,可以有效保护系统资源和数据。注解是Apache Shiro框架中强大的权限控制工具,允许开发者在代码中定义精确的访问权限要求。通过这种方式,可以有效保护系统的安全性和数据的完整性,确保用户仅能执行其有权执行的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值